

Сформируй полную и готовую к загрузке конфигурацию для коммутатора Huawei S7712 (VRP). Конфигурация должна быть структурированной, содержать комментарии и строго соответствовать следующим детальным требованиям:

1. Безопасность и управление доступом:
Локальные пользователи: Создай два локальных пользователя:

admin-backup: Резервная учетная запись с привилегиями уровня 15 исключительно для консольного доступа.
netadmin: Основная учетная запись с привилегиями уровня 1 (только чтение) для доступа по SSH.

Протоколы доступа:

Полностью запретить Telnet и HTTP/HTTPS серверы.
Включить и настроить SSH версии 2 (stelnet, sftp) с предпочтительными алгоритмами шифрования (aes128_ctr, aes256_ctr).

Аутентификация:

Настроить пароль для входа в привилегированный режим (super password level 15).
Настроить централизованную аутентификацию, авторизацию и учёт (AAA) через внешний RADIUS-сервер с обязательным локальным откатом (fallback) на случай его недоступности.
Линии VTY (0-4) изначально должны использовать схему аутентификации по умолчанию (локальную).
Консоль и VTY: Аутентификация на линиях console 0 и vty 0-4 должна выполняться через AAA.

2. Базовая настройка сети:
Система: Задать hostname SW-Core-01.

VLAN: Создать и именовать следующие VLAN:

1 – Management
100 – Printers
200 – UsersGroup1
300 – UsersGroup2
400 – Swift
500 – Reuters
600 – Storages
700 – WAN

IP-адресация:

Назначить интерфейсу Vlanif1 IP-адрес 192.168.50.100/24 и описание Management_VLAN.
Добавить статический маршрут по умолчанию на шлюз (ip route-static 0.0.0.0 0.0.0.0).

3. Службы и мониторинг:
Время (NTP): Настроить синхронизацию времени с двумя NTP-серверами, указав один как предпочтительный (prefer). Источником NTP-пакетов указать Vlanif1. Установить часовой пояс MSK (UTC+3).
Логирование (Syslog): Настроить отправку логов уровня 5 (notifications) на внешний syslog-сервер, используя в качестве источника IP-адрес Vlanif1.

4. Безопасность на уровне портов (Port-Security):
Глобально включить функцию port-security.
Применить настройку ко всем портам в слотах 2 и 3 (предположительно, диапазоны GigabitEthernet 2/0/1-48 и 3/0/1-48).

Параметры для этих портов:

Режим доступа (access).
Включить port-security.
Максимальное количество изучаемых MAC-адресов: 1.
Действие при нарушении: restrict (регистрировать нарушение, но не отключать порт).
Зафиксировать первый динамически изученный MAC-адрес (mac-address sticky).
Не настраивать автоматическое восстановление порта (errdisable recovery).

Включить stp edged-port для этих портов.

5. Критически важное требование к формату ответа:
Ответ должен состоять из ДВУХ ЧЕТКО РАЗДЕЛЕННЫХ ЧАСТЕЙ:

ЧАСТЬ 1: Готовая конфигурация.
Полный текст конфигурации в формате команд Huawei VRP, сгруппированный по логическим блокам (система, безопасность, VLAN, интерфейсы и т.д.), с использованием комментариев (!) для пояснений.

ЧАСТЬ 2: Таблица параметров для ручного ввода.
После конфигурации представь данные в виде структурированного списка/таблицы под заголовком "Параметры, которые необходимо указать вручную". Для каждого параметра укажи:

Место в конфигурации (например, какая строка или переменная).
Описание (для чего этот параметр).
Пример или формат значения.
Пример заполнения параметров:

<STRONG_ADMIN_BACKUP_PASSWORD> – Пароль для резервной консольной учетной записи admin-backup. Должен быть высокой сложности.

<IP_NTP_SERVER_1> – IP-адрес или имя основного NTP-сервера.

ЧАСТЬ 3: Краткие итоговые примечания.
Добавь краткий блок "Важные примечания перед применением", где перечисли ключевые моменты:

Конфигурация загружается ТОЛЬКО через консоль.
Необходимость вручную назначить port default vlan для портов в слотах 2 и 3.
Порядок активации RADIUS-аутентификации для VTY.
Предупреждение о проверке фактических номеров портов в команде interface range.
Команда для принудительного сохранения (save force).








Базовая конфигурация для Huawei S7712

! --- Задание имени устройства ---
sysname SW-Core-01
!
! --- Безопасность и доступ ---
! Включение парольной сложности и блокировки при множественных ошибках входа
aaa
 local-aaa-user wrong-password retry-interval 10 retry-time 5
!
! Создание РЕЗЕРВНОЙ локальной учетной записи для консольного доступа (уровень 15)
 local-user admin-backup password irreversible-cipher <STRONG_ADMIN_BACKUP_PASSWORD>
 local-user admin-backup privilege level 15
 local-user admin-backup service-type terminal
!
! Создание учетной записи для устройств (уровень 1, только для чтения, только SSH)
 local-user netadmin password irreversible-cipher <STRONG_NETADMIN_PASSWORD>
 local-user netadmin privilege level 1
 local-user netadmin service-type ssh
quit
!
! Отключение небезопасных служб
undo telnet server enable
undo http server enable
undo http secure-server enable
!
! Настройка SSH v2
stelnet server enable
ssh user netadmin authentication-type password
ssh user netadmin service-type stelnet
sftp server enable
ssh server cipher aes128_ctr aes256_ctr
ssh server hmac sha2_256 sha2_512
ssh server key-exchange dh_group14_sha1
!
! Настройка линий доступа
user-interface console 0
 authentication-mode aaa
!
user-interface vty 0 4
 authentication-mode aaa
 protocol inbound ssh
!
! Настройка входа в привилегированный режим (enable) с паролем
super password level 15 cipher <STRONG_ENABLE_PASSWORD>
!
! --- Управление и время ---
! Настройка часового пояса, даты и NTP
clock timezone MSK add 03:00:00
clock datetime <HH:MM:SS> <YYYY-MM-DD> ! Указать текущее время при первой настройке
ntp-service unicast-server <IP_NTP_SERVER_1>
ntp-service unicast-server <IP_NTP_SERVER_2> prefer
ntp-service source-interface Vlanif1
!
! --- AAA для удаленной авторизации ---
aaa
 authentication-scheme default
 authentication-scheme RADIUS_AUTH
  authentication-mode radius local
!
 authorization-scheme default
 authorization-scheme RADIUS_AUTH
  authorization-mode radius local
!
 accounting-scheme default
 accounting-scheme RADIUS_ACCT
  accounting-mode radius
!
 domain default
 domain radius-domain
  authentication-scheme RADIUS_AUTH
  authorization-scheme RADIUS_AUTH
  accounting-scheme RADIUS_ACCT
  radius-server <RADIUS_TEMPLATE_NAME>
!
 domain default_admin
  authentication-scheme default
  authorization-scheme default
  accounting-scheme default
!
quit
!
! Настройка RADIUS-сервера (шаблон)
radius-server template <RADIUS_TEMPLATE_NAME>
 radius-server authentication <IP_RADIUS_SERVER> 1812 weight 80
 radius-server accounting <IP_RADIUS_SERVER> 1813 weight 80
 radius-server shared-key cipher <RADIUS_SHARED_KEY>
!
! --- VLAN ---
vlan batch 100 200 300 400 500 600 700
!
vlan 1
 name Management
!
vlan 100
 name Printers
!
vlan 200
 name UsersGroup1
!
vlan 300
 name UsersGroup2
!
vlan 400
 name Swift
!
vlan 500
 name Reuters
!
vlan 600
 name Storages
!
vlan 700
 name WAN
!
! --- Настройка IP-адресации для менеджмента (VLAN 1) ---
interface Vlanif1
 description Management_VLAN
 ip address 192.168.50.100 255.255.255.0
!
! --- Маршрут по умолчанию ---
ip route-static 0.0.0.0 0.0.0.0 <GATEWAY_IP>
!
! --- Настройка логирования (уровень 5 = notifications) ---
info-center source default channel logbuffer log level informational trap state off debug state off
info-center source default channel logbuffer log level notification
info-center loghost source Vlanif1
info-center loghost <IP_SYSLOG_SERVER> channel logbuffer facility local6 language english
info-center logbuffer size 1024
trapbuffer size 1024
!
! --- Настройка Port-Security на слот 2 и слот 3 ---
!
! Глобальное включение port-security
port-security enable
!
! Настройка для всех портов в слотах 2 и 3 (пример для GE2/0/1)
interface range GigabitEthernet 2/0/1 to 2/0/48, GigabitEthernet 3/0/1 to 3/0/48
 port link-type access
 port-security enable
 port-security max-mac-num 1
 port-security protect-action restrict
 port-security mac-address sticky
 stp edged-port enable
!
! --- Общие настройки безопасности ---
user-security-policy enable
undo ip http secure-server enable
!
! Сохранение конфигурации
save force









Параметры, которые необходимо указать вручную для реальной работы
ВНИМАНИЕ: Замените все значения в угловых скобках <...> на реальные данные вашей сети.

Пароли для локального доступа (КРИТИЧЕСКИ ВАЖНО):
<STRONG_ADMIN_BACKUP_PASSWORD> — сверхнадежный пароль для резервной учетной записи admin-backup (только консоль).
<STRONG_NETADMIN_PASSWORD> — надежный пароль для учетной записи netadmin (для SSH, уровень 1 - только чтение).
<STRONG_ENABLE_PASSWORD> — пароль для перехода в режим super (уровень 15).

Параметры сети и NTP:
<HH:MM:SS> <YYYY-MM-DD> — текущее время и дата для начальной установки часов (например, 14:30:00 2024-05-15).
<IP_NTP_SERVER_1> — IP-адрес основного NTP-сервера.
<IP_NTP_SERVER_2> — IP-адрес резервного NTP-сервера. Ключевое слово prefer делает его предпочтительным.

Параметры RADIUS-сервера:
<RADIUS_TEMPLATE_NAME> — имя шаблона RADIUS (например, ISERVE).
<IP_RADIUS_SERVER> — IP-адрес вашего RADIUS-сервера.
<RADIUS_SHARED_KEY> — общий секретный ключ, согласованный с RADIUS-сервером.

Параметры логирования:
<IP_SYSLOG_SERVER> — IP-адрес вашего сервера сбора логов.

Сетевые настройки:
<GATEWAY_IP> — IP-адрес шлюза по умолчанию в вашей сети (например, 192.168.50.1).

Настройка портов (Port-Security):
Проверьте номера портов! Команда interface range в конфигурации предполагает, что в слотах 2 и 3 есть порты с 1 по 48. Уточните фактические номера портов на вашем устройстве S7712. При необходимости измените диапазон (например, GigabitEthernet 2/0/0 to 2/0/23).

Назначение VLAN: Конфигурация устанавливает порты в режим access, но не назначает им VLAN по умолчанию. Это нужно сделать отдельно для каждой группы портов командой port default vlan <ID_VLAN>, исходя из вашей сетевой схемы.

Критически важные примечания перед применением:
Начальный доступ: Конфигурацию нужно вводить строго через консольный порт (Console). Удаленный доступ (SSH) будет работать только после назначения IP-адреса, настройки шлюза и маршрутизации.
Стратегия AAA: Настроена гибридная аутентификация radius local. Если RADIUS-сервер недоступен, произойдет откат (fallback) к локальной базе пользователей. Это предотвращает потерю доступа.
Домены доступа: Линии VTY (vty 0 4) по умолчанию используют домен default_admin, который настроен на локальную аутентификацию (для учетной записи netadmin). Чтобы включить RADIUS-аутентификацию для SSH, после проверки связи с RADIUS необходимо вручную выполнить в режиме user-interface vty 0 4: authentication-mode aaa domain radius-domain. Это осознанный шаг для безопасности на этапе развертывания.
Port-Security: Порты будут блокировать все новые MAC-адреса сверх первого, но не отключатся (restrict). Первый "прилипший" (sticky) MAC-адрес будет автоматически изучен и добавлен в таблицу безопасности. Функция восстановления порта (errdisable recovery) отключена согласно требованию.
Сохранение: Используется команда save force для сохранения без дополнительных подтверждений.




















(c) by Valery Shmelev 
https://t.me/llmsource/
http://oflameron.com